I sistemi di sensori LiDAR (Light Detection and Ranging) montati sulle auto che si guidano da sole sono vulnerabili ad attacchi a base di impulsi laser, un rischio piuttosto economico da sostenere e a quanto pare persistente in maniera indipendente dal modello o dall’azienda che ha sviluppato il veicolo sotto esame.
A lanciare l’ennesimo allarme sull’automotive “intelligente”, autonomo e fondamentalmente insicuro è Jonathan Petit, ricercatore in forze alla società Security Innovation che da tempo si occupa di mettere alla prova la sicurezza del settore e che pianifica di spiegare i dettagli dell’attacco in occasione della prossima conferenza Black Hat Europe 2015 .
Un sistema LiDAR fa uso di impulsi laser per misurare la distanza di un oggetto durante la guida (robotica), ed è una tecnologia sofisticata e piuttosto costosa che richiede la spesa di decine di migliaia di euro/dollari per automobile; Google, ad esempio, monta un sistema LiDAR dal valore di 70mila dollari su ciascuna delle auto della sua flotta di driverless car.
Per contro, il costo dell’attacco ideato da Petit si aggira intorno ai 50 euro, facendo uso di emettitori laser di base comunemente disponibili in commercio e di una board di sviluppo Arduino: il risultato del lavoro di hacking, sostiene il ricercatore, è la capacità di confondere i costosi sistemi LiDAR con l’invio di impulsi fasulli che simulino la presenza di ostacoli e portino l’auto robotica a rallentare o persino a bloccarsi del tutto.
L’attacco laser di Petit funziona su una distanza di 100 metri, e può far credere all’auto-bersaglio di trovarsi a una distanza compresa tra 20 e 350 metri da un oggetto da evitare, auto o pedone che sia. Per ora il ricercatore non cita alcuna marca specifica di auto robotica vulnerabile, mentre la tecnologia LiDAR continua a evolversi sia sul fronte dei costi che nel livello di integrazione fra i vari componenti del sistema.
L’attacco ai sensori LiDAR chiude un’estate che è risultata essere piuttosto calda sul fronte dell’automotive insicuro, a partire dall’oramai famigerato attacco contro le Jeep di Fiat Chrysler (FCA) per finire con le Corvette crackate a mezzo di chiavette OBD . Sempre riguardo le Jeep Cherokee vulnerabili, FCA è in questi giorni di nuovo al centro delle critiche per la decisione di spedire aggiornamenti USB via posta – una tattica facilmente sfruttabile da cyber-criminali e malintenzionati a mo ‘ di phishing – e per l’ennesimo richiamo di circa 8mila SUV equipaggiati con gli apparati di infotainment vulnerabili.
Alfonso Maruccia